Beispiel-TMA: Einmaliges Anmelden für Unternehmen
In Thema Abschnitt wird die Gefahrenanalyse für das SSO für Unternehmen-Szenario (Enterprise Single Sign-On, Einmaliges Anmelden für Unternehmen) für die Beispielarchitektur vorgestellt.
Die folgende Abbildung zeigt die einfache Beispielarchitektur mit dem SSO für Unternehmen-Szenario.
Abbildung 1 – Einfache Beispielarchitektur mit SSO für Unternehmen-Szenario
Schritt 1: Sammeln von Hintergrundinformationen (Enterprise Single Sign-On Szenario)
Dieser Abschnitt enthält das Datenflussdiagramm für das SSO für Unternehmen-Szenario, wenn Sie Windows-Anmeldeinformationen den Anmeldeinformationen zuordnen, über die Sie sich mit dem Back-End-Netzwerk verbinden.
Alle anderen Hintergrundinformationen sind für alle unsere Nutzungsszenarien identisch und werden zuvor unter Hintergrundinformationen für Beispielszenarien beschrieben.
Datenflussdiagramm
Die folgende Abbildung zeigt das Datenflussdiagramm für das SSO für Unternehmen-Szenario.
Abbildung 2 – Datenflussdiagramm für das SSO für Unternehmen-Szenario
Der Datenfluss läuft wie folgt ab:
Der Benutzer oder die Anwendung meldet sich mit Windows-Anmeldeinformationen an.
Einmaliges Anmelden für Unternehmen (Single Sign-On, SSO) verwendet die Windows-Anmeldeinformationen zum Anfordern der Anmeldeinformationen für das Back-End-Netzwerk.
Einmaliges Anmelden für Unternehmen (Single Sign-On, SSO) ordnet die Windows-Anmeldeinformationen den Anmeldeinformationen für das Back-End-Netzwerk zu, die in der SSO-Datenbank gespeichert sind.
Einmaliges Anmelden für Unternehmen (SSO) ruft die Back-End-Anmeldeinformationen ab und stellt mit ihrer Hilfe eine Verbindung zwischen dem Benutzer oder der Anwendung und dem Back-End-Netzwerk her.
Schritt 2 Erstellen und Analysieren des Bedrohungsmodells (Enterprise Single Sign-On Szenario)
In diesem Abschnitt wird das Ergebnis der Gefahrenanalyse für das SSO für Unternehmen-Szenario für die Beispielarchitektur vorgestellt.
Identifizieren von Einstiegspunkten, Vertrauensgrenzen und Datenfluss : Siehe Hintergrundinformationen weiter oben in Schritt 1 und unter Hintergrundinformationen für Beispielszenarien.
Erstellen einer Liste der identifizierten Bedrohungen: Wir haben die folgende Kategorisierung für alle Einträge in der DFD verwendet, um potenzielle Bedrohungen für das Szenario zu identifizieren: Spoofing identifizieren, Tampering mit Daten, R-Epudiation, I-nformationsoffenbar, DEnial of Service und E-Levierungvon Berechtigungen. In der folgenden Tabelle sind die Gefahren enthalten, die bei Verwenden von Einmaliges Anmelden für Unternehmen (SSO) zum Senden von Nachrichten an und Empfangen von Nachrichten von BizTalk Server ermittelt haben.
Tabelle 1 – Liste der identifizierten Gefahren
| Bedrohung | BESCHREIBUNG | Asset | Auswirkung |
|---|---|---|---|
| Der Server für den geheimen Hauptschlüssel ist eine einzelne Fehlerquelle | Wenn ein böswilliger Benutzer die Sicherheit des Servers für den geheimen Hauptschlüssel gefährdet, kann der SSO-Computer keine Anmeldeinformationen verschlüsseln, diese aber weiterhin entschlüsseln. | BizTalk Server- und SSO-Umgebung | Denial of Service |
| Ein böswilliger Benutzer kann bei einem Client oder Server eine falsche Identität vortäuschen | Wenn auf einem Client oder Server Windows ohne NTML-Authentifizierung ausgeführt wird, kann ein böswilliger Benutzer seine Identität bei einem Client oder Server verschleiern (Spoofing). | BizTalk Server- und SSO-Umgebung | Vortäuschung einer falschen Identität Manipulation von Daten Verfälschung Offenlegung von Informationen Denial of Service Unbefugte Rechteerweiterung |
| Ein böswilliger Benutzer kann die Daten während der Übertragung von einem Server zum nächsten manipulieren | Die Kommunikation zwischen Servern erfolgt unverschlüsselt, sodass ein böswilliger Benutzer Daten während der Übertragung potenziell lesen kann. | Daten | Manipulation von Daten Veröffentlichung von Informationen |
Schritt 3 Überprüfen von Bedrohungen (Enterprise Single Sign-On Szenario)
In diesem Abschnitt wird das Ergebnis der Risikoanalyse der Gefahren vorgestellt, die wir für das SSO für Unternehmen-Szenario für die Referenzarchitektur ausgemacht haben. Nach der Besprechung des Standard Bedrohungsmodells haben wir die Bedrohungen überprüft und die folgenden Auswirkungskategorien verwendet, um das Risiko für jede Bedrohung zu identifizieren: DAmagepotenzial, R-E-Herstellbarkeit, Exploitability, Ainfizierte Benutzer und Discoverability.
In der folgenden Tabelle sind die Risikobewertungen der Gefahren enthalten, die wir bei Verwenden von Einmaliges Anmelden für Unternehmen (SSO) zum Senden von Nachrichten an und Empfangen von Nachrichten von BizTalk Server ermittelt haben.
Tabelle 2: Risikobewertung der identifizierten Gefahren
| Bedrohung | Auswirkung | Schadenspotenzial | Reproduzierbarkeit | Ausnutzbarkeit | Betroffene Benutzer | Erkennbarkeit | Gefahrenpotenzial durch Risiken |
|---|---|---|---|---|---|---|---|
| Der Server für den geheimen Hauptschlüssel ist eine einzelne Fehlerquelle | Denial of Service | 2 | 3 | 2 | 1 | 2 | 2 |
| Ein böswilliger Benutzer kann bei einem Client oder Server eine falsche Identität vortäuschen | Vortäuschung einer falschen Identität Manipulation von Daten Verfälschung Offenlegung von Informationen Denial of Service Unbefugte Rechteerweiterung |
3 | 2 | 2 | 2 | 1 | 2 |
| Ein böswilliger Benutzer kann die Daten während der Übertragung von einem Server zum nächsten manipulieren | Manipulation von Daten Veröffentlichung von Informationen |
3 | 1 | 1 | 2 | 1 | 1.6 |
Schritt 4. Identifizieren von Entschärfungstechniken (Enterprise Single Sign-On Szenario)
In diesem Abschnitt werden verschiedene Vermeidungstechniken für die Gefahren vorgestellt, die wir für das SSO für Unternehmen-Szenario für die Beispielarchitektur ausgemacht haben.
Die folgende Tabelle enthält Vermeidungstechniken für die Gefahren, die bei Verwenden von Einmaliges Anmelden für Unternehmen (SSO) ausgemacht wurden.
Tabelle 3: Vermeidungstechniken und -technologien
| Bedrohung | Auswirkung | Gefahrenpotenzial durch Risiken | Vermeidungstechniken und -technologien |
|---|---|---|---|
| Der Server für den geheimen Hauptschlüssel ist eine einzelne Fehlerquelle | Denial of Service | 2 | Konfigurieren Sie für den Server für den geheimen Hauptschlüssel ein Aktiv/Passiv-Cluster. Weitere Informationen zum Clustering des master Geheimnisservers finden Sie unter Hochverfügbarkeit für einmaliges Anmelden für Unternehmen. |
| Ein böswilliger Benutzer kann bei einem Client oder Server eine falsche Identität vortäuschen | Vortäuschung einer falschen Identität Manipulation von Daten Verfälschung Offenlegung von Informationen Denial of Service Unbefugte Rechteerweiterung |
2 | Wenn Ihr Netzwerk die Kerberos-Authentifizierung unterstützt, sollten Sie alle SSO-Server registrieren. Wird die Kerberos-Authentifizierung zwischen dem Server für den geheimen Hauptschlüssel und der SSO-Datenbank verwendet wird, müssen Sie Dienstprinzipalnamen (SPNs) auf dem Computer mit SQL Server konfigurieren, auf dem sich die SSO-Datenbank befindet. Weitere Informationen zum Konfigurieren von Dienstprinzipalnamen finden Sie auf der Microsoft TechNet-Website unter https://go.microsoft.com/fwlink/?LinkId=61374. |
| Ein böswilliger Benutzer kann die Daten während der Übertragung von einem Server zum nächsten manipulieren | Manipulation von Daten Veröffentlichung von Informationen |
1.6 | Verwenden Sie IPSec (Internet Protocol Security) oder SSL (Secure Sockets Layer) zwischen allen SSO-Servern und der SSO-Datenbank. Weitere Informationen zu SSL finden Sie auf der Microsoft-Website für Hilfe und Support unter https://go.microsoft.com/fwlink/?LinkID=189708. Weitere Informationen zur Verwendung von SSL zwischen allen SSO-Servern und der SSO-Datenbank finden Sie unter Aktivieren von SSL für SSO. |
Weitere Informationen
Beispielszenarien der Bedrohungsmodellanalysefür Beispielarchitekturen der Bedrohungsmodellanalysefür kleine & Medium-Sized Unternehmen